近日,微信带来了小游戏「跳一跳」。它的玩法很简单,用蓄力控制游戏人物在各种「箱子」间跳跃,考验玩家的控制能力。但一些网友为了刷分,纷纷用了「高分神器」——外挂。
最有名的外挂要数「直接伪造 POST 请求刷分」。这个外挂的原理很简单:当游戏结束后,游戏成绩会从个人手机发送到服务器,问题发生在服务器没有对客户端发送的数据进行验证,也就是说,无论用户发送什么样的成绩,服务器都会相信。这样造成的结果是,只要用户使用黑客技术伪造一个分数,并「告诉」给服务器,你便获得了这个分数。
这个问题不是第一次发生,早在 2011 年前后,QQ 空间推出了一系列的小游戏,在那时,也有人利用类似原理进行刷分。
事实上,类似的漏洞还会带来更严重的灾难,如果支付数据被拦截并修改,很有可能造成无论充值多少,「只需支付 0.01 元」的情况。据澎湃新闻报道,2016 年,一个大二在校生利用某网络购物平台的支付漏洞,把支付指令中的付款数据修改成 0.01 元,就能用 1 分钱购买大额话费了。
据小编了解,微信小游戏「跳一跳」的源代码下载漏洞已经被修复,网友发现上文中提到的「直接伪造 POST 请求刷分」漏洞也已经失效了。
全部评论